我面临的问题是我正在尝试设置 /var/log/audit 的权限。
如果我发出chmod -R g-wx,o-rwx /var/log/*
然后重新启动服务,权限将重置为:drwxr-x---
我可以在哪里控制此行为?我已检查
- /etc/logrotate.conf
- /etc/logrotate.d/*
- /usr/lib/tmpfiles.d/*
好像找不到票了。
感谢您的体验!谢谢。
答案1
唯一可用于控制 auditd 日志权限的方法是文件log_group
中的设置auditd.conf
。当存在此设置时,所有日志输出将为组可读 (mask 0750
);当不存在此设置时,只有 root 可读 (mask )。正如您所注意到的,当 auditd 启动时,0700
此模式也会应用于目录本身。/var/log/audit
此外,日志文件在轮转后总会删除写入位,并且不会再被写入。这些行为都是在auditd程序中硬编码的。
根据chmod
您问题中的命令,我认为您应该能够通过注释掉该log_group
行/etc/audit/auditd.conf
并重新启动 auditd 来获得您想要的结果:
# systemctl restart auditd
# grep log_group /etc/audit/auditd.conf
#log_group = adm
# ls -ld /var/log/audit
drwx------ 3 root root 4096 Jan 31 19:52 /var/log/audit
# ls -l /var/log/audit
total 26280
-rw------- 1 root root 1674289 Jan 31 21:22 audit.log
-r-------- 1 root root 8388712 Jan 31 19:52 audit.log.1
-r-------- 1 root root 8388786 Jan 31 18:55 audit.log.2
-r-------- 1 root root 8388631 Jan 31 18:08 audit.log.3
drwx------ 2 root root 16384 Jan 26 11:27 lost+found
某些系统可能需要重新启动才能使此配置更改生效。